Fughe di dati e motivazione dei dipendenti
Quali conseguenze hanno le fughe di dati
per i dipendenti? Per rispondere a questa domanda, iniziamo ad
esplorare le cause della maggior parte di tali incidenti che, secondo la
mia esperienza, sono spesso radicate nella noncuranza,
nell’irresponsabilità dei dipendenti o nella gestione inefficace. In
altre parole, non importa il punto di vista da dove si guardi il
fenomeno, il fattore umano è il cuore del problema delle fughe di dati aziendali.
Quando i dipendenti non si assumono le proprie responsabilità
Provate a chiedere ai dipendenti quali modifiche al proprio workflow aiuterebbero a migliorare la produttività
e il livello di soddisfazione sul lavoro. In genere le persone vogliono
lavorare seguendo un sistema qualsiasi che possa adattarsi alle proprie
esigenze e senza interferenze. Ad esempio, per quanto riguarda la gestione delle autorizzazioni sul
proprio computer, l’ideale per loro sarebbe avere la possibilità di
installare qualsiasi software, dare l’accesso ai dati e ai sistemi del
proprio team a loro discrezione., invitare liberamente persone in
ufficio… insomma, cose di questo genere.
Allo stesso tempo, quasi nessuno è veramente disposto ad assumersi la responsabilità
di ciò che vuole o che gli fa comodo. Molti dipendenti (e a volte anche
i loro manager) sono compiacenti e credono di essere in qualche modo
protetti, da minacce informatiche e vulnerabilità (non importa cosa facciano), da certi “maghi” che sono pronti a salvare la situazione. Naturalmente, noi esperti di sicurezza informatica aziendale facciamo sempre del nostro meglio per proteggere gli utenti, ma non siamo onnipotenti.
Cattive decisioni di gestione
La seconda causa degli incidenti più gravi di fughe di dati è, in
generale, la gestione inefficace dei processi aziendali, che comprende
anche le azioni (o la loro mancanza) del personale addetto alla sicurezza delle informazioni e dell’IT. Un’azienda che fa sul serio con la sicurezza informatica non subisce gravi danni perché un dipendente inserisce una chiavetta USB con un file infetto o apre un’e-mail con un allegato dannoso o un URL pericoloso. In ogni caso, deve verificarsi una catena di errori di questo tipo:
- La procedura aziendale è stata organizzata in modo da consentire questo tipo di errore;
- Qualcuno ha commesso un errore o ha violato le politiche di sicurezza delle informazioni;
- I sistemi informatici o i servizi dell’infrastruttura contenevano vulnerabilità non risolte o non identificate;
- I sistemi erano troppo complessi, causando la mancanza delle risorse necessarie per garantire una configurazione sicura, una gestione tempestiva delle patch e l’implementazione di misure di sicurezza;
- Il dipartimento di sicurezza delle informazioni non è stato in grado (per mancanza di competenze o di opportunità) di identificare l‘incidente di sicurezza informatica prima che causasse certi danni.
Ognuno di questi fattori è una conseguenza di una decisione.
Tuttavia, la causa generale dell’incidente è il risultato di una
combinazione dei fattori. Il modo in cui l’incidente influisce sulla motivazione del personale
dipende in gran parte dalla risposta del personale dirigente, e a volte
le misure che un’azienda adotta per prevenire il ripetersi di tali
incidenti possono fare molti più danni dell’incidente stesso.
Ecco un esempio del mondo reale: una banca ha subito più volte incidenti di sicurezza derivanti sia da attacchi esterni sia da errori dei dipendenti.
Di conseguenza, i sistemi della banca sono andati fuori uso per un
certo periodo di tempo. La direzione, nel tentativo di motivare il
personale responsabile e di punire i colpevoli, ha licenziato più volte
il personale informatico e di sicurezza. Allo stesso tempo, pur sapendo che il sistema bancario automatizzato presentasse delle vulnerabilità strutturali,
la direzione non ha stanziato alcun budget per creare un nuovo sistema o
per riparare quello vecchio. I dipendenti più esperti si sono resi
conto che chiunque avrebbe potuto commettere un errore un giorno, e
l’azienda ha preferito assumere nuove persone invece di risolvere il
problema di fondo, così hanno presto trovato lavoro altrove. I nuovi
dipendenti avevano una scarsa comprensione del sistema dell’azienda, che
era stato sviluppato in house e, di conseguenza, commettevano ancora
più errori di sicurezza
e impiegavano più tempo nella manutenzione dei sistemi perché non
disponevano delle nozioni essenziali. Di conseguenza, i clienti hanno
lasciato la banca, che è scivolata dalla sua posizione nella top 50 al
di sotto del 200° posto.
Cosa fare
A mio parere, è importante non demotivare i propri
dipendenti. Al contrario, aiutateli a comprendere le loro
responsabilità, i valori dell’azienda e l’importanza del proprio
contributo e di quello dei loro collaboratori. Potete dimostrare tutto
questo attraverso il supporto materiale, il rispetto reciproco e la
definizione di regole chiare.
Le regole aziendali in materia di sicurezza delle informazioni devono spiegare in modo semplice e chiaro cosa è o non è ammissibile e cosa deve fare il personale in caso di un incidente informatico,
anche in termini di privacy e riservatezza. Il team leader deve
comunicare chiaramente le informazioni ai subordinati, e durante e dopo
un incidente informatico, spiegare il problema e le sue
conseguenze (che possono includere sanzioni). Ciò aiuta a mantenere una
sana atmosfera di squadra e può aiutare l’azienda a evitare di ripetere
gli stessi errori.
È possibile utilizzare questa road map di sicurezza informatica per
concentrarsi sulla motivazione del team e sulla riduzione dell’impatto
degli incidenti informatici:
- Condurre la formazione del personale non solo per evitare errori, ma anche per insegnare ali dipendenti come identificare a un errore e come agire;
- Motivare i dipendenti;
- Elaborare chiare regole di sicurezza delle informazioni in azienda e misure per monitorarle durante la loro esecuzione;
- Utilizzare strumenti di rilevamento degli incidenti e di risposta;
- Implementare sistemi di protezione dagli errori, dai comportamenti disattenti o ingenui e dalle azioni negative dall’interno (come la vendetta informatica degli ex dipendenti);
- Riesaminare periodicamente le misure di cui sopra per ridurre la probabilità che qualcuno commetta lo stesso errore due volte.
Non sono presenti ancora recensioni.